Share via

Azure Key Vault 암호에 환경 변수 사용

  • 아티클

환경 변수를 사용하면 Azure Key Vault에 저장된 시크릿을 참조할 수 있습니다. 그런 다음 이러한 암호는 Power Automate 흐름 및 사용자 지정 커넥터 내에서 사용할 수 있습니다. 암호는 다른 사용자 지정에서 또는 일반적으로 API를 통해 사용할 수 없습니다.

실제 암호은 Azure Key Vault에 저장되고 환경 변수는 키 자격 증명 모음 암호 위치를 참조합니다. 환경 변수와 함께 Azure Key Vault 암호를 사용하려면 Power Platform이 참조하려는 특정 암호를 참조할 수 있도록 Azure Key Vault를 구성해야 합니다.

암호를 참조하는 환경 변수는 현재 흐름에서 사용할 동적 콘텐츠 선택기에서 사용할 수 없습니다.

Azure Key Vault 구성

Power Platform과 함께 Azure Key Vault 시크릿을 사용하려면 자격 증명 모음이 있는 Azure 구독에 PowerPlatform 리소스 공급자가 등록되어 있어야 하고, 환경 변수를 만드는 사용자는 Azure Key Vault 리소스에 대한 적절한 권한이 있어야 합니다.

참고

  • 최근 Azure Key Vault 내에서 액세스 권한을 확정하는 데 사용하는 보안 역할을 변경했습니다. 이전 지침에는 Key Vault Reader 역할 할당이 포함되었습니다. 이전에 Key Vault Reader 역할로 키 자격 증명 모음을 설정한 경우 사용자와 Dataverse가 암호를 검색할 수 있는 충분한 권한을 갖도록 Key Vault 암호 사용자 역할을 추가해야 합니다.
  • 자격 증명 모음 액세스 정책 권한 모델을 사용하도록 구성된 키 자격 증명 모음이 여전히 있는 경우에도 서비스에서 Azure 역할 기반 액세스 제어 API를 사용하여 보안 역할 할당을 평가하고 있음을 알고 있습니다. 구성을 간소화하려면 자격 증명 모음 권한 모델을 Azure 역할 기반 액세스 제어로 전환하는 것이 좋습니다. 액세스 구성 탭에서 이 작업을 수행할 수 있습니다.

  1. Azure 구독에 Microsoft.PowerPlatform 리소스 공급자를 등록합니다. 확인 및 구성하려면 다음 단계를 따르십시오: 리소스 공급자 및 리소스 종류

    Azure에서 Power Platform 공급자 등록

  2. Azure Key Vault 자격 증명 모음을 만듭니다. 침해 시 위협을 최소화할 수 있도록 Power Platform 환경마다 별도의 자격 증명 모음을 사용하는 것을 고려하십시오. 권한 모델Azure 역할 기반 액세스 제어를 사용하도록 키 자격 증명 모음을 구성하는 것이 좋습니다. 추가 정보: Azure Key Vault 사용 모범 사례, 빠른 시작 - Azure Portal을 사용하여 Azure Key Vault 만들기

  3. 암호 유형의 환경 변수를 생성하거나 사용하는 사용자는 암호 내용을 검색할 수 있는 권한이 있어야 합니다. 새 사용자에게 암호를 사용할 수 있는 권한을 부여하려면 액세스 제어(IAM) 영역을 선택하고 추가를 선택한 다음 드롭다운에서 역할 할당 추가를 선택합니다. 추가 정보: Azure 역할 기반 액세스 제어를 통해 Key Vault 키, 인증서 및 암호에 대한 액세스 제공

    Azure에서 내 액세스 보기

  4. 역할 할당 추가 마법사에서 기본 할당 유형을 직무 역할로 두고 역할 탭으로 이동합니다. Key Vault 암호 사용자 역할을 찾아 선택합니다. 구성원 탭으로 이동하여 구성원 선택 링크를 선택하고 측면 패널에서 사용자를 찾습니다. 사용자를 선택하고 구성원 섹션에 표시하면 계속해서 검토 및 할당 탭으로 이동하여 마법사를 완료합니다.

  5. Azure Key Vault에는 Dataverse 서비스 주체에 부여된 Key Vault 암호 사용자 역할이 있어야 합니다. 이 자격 증명 모음에 대해 존재하지 않는 경우 사용자 대신 Dataverse 애플리케이션 ID만 사용하여 이전에 최종 사용자 권한에 사용한 것과 동일한 방법을 사용하여 새 액세스 정책을 추가합니다. 테넌트에 여러 Dataverse 서비스 주체가 있는 경우 모두 선택하고 역할 할당을 저장하는 것이 좋습니다. 역할이 할당되면 역할 할당 목록에 나열된 각 Dataverse 항목을 검토하고 Dataverse 이름을 선택하여 세부 정보를 봅니다. 애플리케이션 ID00000007-0000-0000-c000-000000000000이 아닌 경우 ID를 선택한 다음 제거를 선택하여 목록에서 제거합니다.

  6. Azure Key Vault 방화벽을 활성화한 경우 Power Platform IP 주소가 키 자격 증명 모음에 액세스하도록 허용해야 합니다. Power Platform은 "신뢰할 수 있는 서비스 전용" 옵션에 포함되지 않습니다. 따라서 현재 서비스에서 사용되는 IP 주소는 Power Platform URL 및 IP 주소 범위 문서를 참조하세요.

  7. 아직 추가하지 않았다면 새 자격 증명 모음에 암호를 추가하십시오. 추가 정보: Azure 빠른 시작 - Azure Portal을 사용하여 Key Vault에서 암호 설정 및 검색

Key Vault 암호에 대한 새 환경 변수 만들기

Azure Key Vault가 구성되고 자격 증명 모음에 암호가 등록되면 이제 환경 변수를 사용하여 Power Apps 내에서 참조할 수 있습니다.

참고

  • 암호에 대한 사용자 액세스 유효성 검사는 백그라운드에서 수행됩니다. 사용자에게 최소한 읽기 권한이 없으면 "이 변수는 제대로 저장되지 않았습니다. 사용자는 'Azure Key Vault 경로'에서 암호를 읽을 수 있는 권한이 없습니다."라는 유효성 검사 오류가 표시됩니다.
  • 현재 Azure Key Vault는 환경 변수로 지원되는 유일한 암호 저장소입니다.
  • Azure Key Vault는 Power Platform 구독과 동일한 테넌트에 있어야 합니다.

  1. Power Apps에 로그인하여 솔루션 영역에서 개발에 사용 중인 관리되지 않는 솔루션을 엽니다.

  2. 신규 > 더 보기 > 환경 변수 선택

  3. 표시 이름을 입력하고 선택적으로 환경 변수에 대한 설명을 입력합니다.

  4. 데이터 형식으로 암호를 선택하고 암호 저장소Azure Key Vault를 선택합니다.

  5. 다음 옵션 중에서 선택합니다.

    • 새 Azure Key Vault 값 참조를 선택합니다. 다음 단계에서 정보를 추가하고 저장한 후 환경 변수 레코드가 생성됩니다.
    • 기본값 표시를 확장하여 기본 Azure Key Vault 암호를 만들 필드를 표시합니다. 다음 단계에서 정보를 추가하고 저장한 후 환경 변수 정의 레코드에 기본값 구분이 추가됩니다.

  6. 다음 정보를 입력합니다.

    • Azure 구독 ID: Key Vault와 연결된 Azure 구독 ID입니다.

    • 리소스 그룹 이름: 암호가 포함된 키 자격 증명 모음이 있는 Azure 리소스 그룹입니다.

    • Azure Key Vault 이름: 암호를 포함하는 키 자격 증명 모음의 이름입니다.

    • 암호 이름: Azure Key Vault에 있는 암호의 이름입니다.

      구독 ID, 리소스 그룹 이름 및 주요 자격 증명 모음 이름은 키 자격 증명 모음의 Azure Portal 개요 페이지에서 찾을 수 있습니다. 암호 이름은 Azure Portal의 키 자격 증명 모음 페이지에서 설정암호를 선택하여 찾을 수 있습니다.

  7. 저장을 선택합니다.

Power Automate 흐름을 만들어 환경 변수 암호 테스트

Azure Key Vault에서 얻은 암호를 사용하는 방법을 보여주는 간단한 시나리오는 Power Automate 흐름을 만들어 웹 서비스에 대해 인증하는 데 암호를 사용하는 것입니다.

참고

이 예시에 사용되는 웹 서비스 URI는 작동하는 웹 서비스가 아닙니다.

  1. PowerApps에 로그인하고 솔루션을 선택한 후 원하는 비관리형 솔루션을 선택합니다. 항목이 측면 패널 창을 경우 ...자세히를 선택한 다음 원하는 항목을 선택하세요.

  2. 신규 > 자동화 > 클라우드 흐름 > 인스턴트를 선택합니다.

  3. 흐름의 이름을 입력하고 수동으로 흐름 트리거를 선택한 다음 만들기를 선택합니다.

  4. 새로운 단계를 선택한 후 Microsoft Dataverse 커넥터를 선택한 다음 작업 탭에서 언바운드 작업 수행을 선택합니다.

  5. 드롭다운 목록에서 RetrieveEnvironmentVariableSecretValue 작업을 선택합니다.

  6. 이전 섹션에서 추가한 환경 변수 고유 이름(표시 이름 아님)을 제공합니다. 이 예에서는 new_TestSecret을 사용합니다.

  7. ... > 이름 바꾸기를 선택하여 다음 작업에서 더 쉽게 참조할 수 있도록 작업 이름을 변경합니다. 아래 스크린샷에서는 이름이 GetSecret으로 변경되었습니다.

    환경 변수 암호 테스트를 위해 인스턴트 흐름 구성

  8. ... > 설정을 선택하여 GetSecret 작업 설정을 표시합니다.

  9. 설정에서 보안 출력 옵션을 사용 설정한 다음 완료를 선택합니다. 이는 동작의 출력이 흐름 실행 기록에 노출되는 것을 방지하기 위한 것입니다.

    작업에 대한 보안 출력 설정 활성화

  10. 새 단계를 선택한 후 HTTP 커넥터를 검색하고 선택합니다.

  11. 방법가져오기를 선택하고 웹 서비스에 URI를 입력합니다. 이 예에서 가상의 웹 서비스인 httpbin.org를 사용합니다.

  12. 고급 옵션 표시를 선택하고 인증기본으로 선택한 다음 사용자 이름을 선택합니다.

  13. 암호 필드를 선택하고 동적 콘텐츠 탭의 (이 예에서는 GetSecret) 위의 흐름 단계에서 RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue를 선택합니다. 이것은 outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] 또는 body('GetSecretTest')['EnvironmentVariableSecretValue'] 표현식으로 추가됩니다.

    HTTP 커넥터를 사용하여 새 단계 만들기

  14. ... > 설정을 선택하여 HTTP 작업 설정을 표시합니다.

  15. 설정에서 보안 입력안전한 출력 옵션을 활성화한 다음  완료를 선택합니다. 이러한 옵션을 활성화하면 작업의 입력 및 출력이 흐름 실행 기록에 노출되는 것을 방지할 수 있습니다.

  16. 저장을 선택하여 흐름을 만듭니다.

  17. 흐름을 수동으로 실행하여 테스트합니다.

    흐름의 실행 기록을 사용하여 출력을 확인할 수 있습니다.

    흐름 출력

제한 사항

  • Azure Key Vault 암호를 참조하는 환경 변수는 현재 Power Automate 흐름 및 사용자 지정 커넥터와 함께 사용하도록 제한되어 있습니다.

참조 항목

캔버스 앱에서 데이터 원본 환경 변수 사용
Power Automate 솔루션 클라우드 흐름에 환경 변수 사용
환경 변수 개요.

참고

귀사의 설명서 언어 기본 설정에 대해 말씀해 주시겠습니까? 간단한 설문 조사에 응해주세요. (이 설문 조사는 영어로 되어 있습니다.)

이 설문 조사는 약 7분 정도 걸립니다. 개인 데이터는 수집되지 않습니다(개인정보처리방침).